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(57) Abstract 

The invention relates to a homoge- 
neously and redundantly built electronic de- 
vice (EG) with at least two channels, espe- 
cially a two-channel, homogeneously and re- 
dundantly built programmable central unit of 
a controller with at least one certified chan- 
nel (A) and at least one non-certified chan- 
nel (B). Said certified channel (A) is a chan- 
nel (A) which is sufficiently free of system- 
atic faults whilst in the non-certified channel 
(B), components can be used which have not 
been explicitly proven to be sufficiently free 
of systematic faults. 

(57) Zusammenfassung 

Zumindest zweikanalig homogen 
redundant aufgebautes elektronisches Gerat 
(EG), insbesondere zweikanalig homogen 
redundant aufgebaute Zentraleinheit einer 

speicherprogrammierbaren Steuerung, mit * _ ^ 

zumindest einem zertifizierten Kanal (A) - - - — — — ■ ■ 1 —————— — 

und zumindest einem nicht zertifizierten 

Kanal (B), wobei der zcrtifizierte Kanal (A) ein von systematischen Fehlem ausreichend freier Kanal (A) ist, und wobei im nicht 
zertifizierten Kanal (B) Komponenten einsetzbar sind, deren ausreichende Freiheit von systematischen Fehlem nicht explizit nachgewiesen 
ist. 
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Beschreibung 

Redundant aufgebautes elektronisches Gerat mit zertif izierten 
5 und nicht zertif izierten Kanalen 

Die vorliegende Erfindung betrifft ein zumindest zweikanalig 
aufgebautes elektronisches Gerat, insbesondere eine zweikana- 
lig aufgebaute programmierbare Logik, wobei diese program- 
10 mierbare Logik beispielsweise die Zentraleinheit einer spei- 
cherprogrammierbaren Steuerung sein kann. 

Fur sicherheitsrelevante Aufgaben werden elektronische Gerate 
benotigt, die in hohem MaEe f unktionssicher sind, wobei der 
15 Ausdruck „f unktionssicher" in Anlehnung an den Ausdruck 

functional safety" des internaltionalen Schrif tstucks Draft - 
IEC 1508 gewahlt wurde. 

Funktionssichere elektronische Gerate zeichnen sich dadurch 
20 aus, da& fur sie spezielle Mafcnahmen vorgesehen sind, um Feh- 
ler und Ausfalle zu vermeiden, zu erkennen und zu beherr- 
schen . 

Eine gebrauchliche Methode zum Vermeiden, Erkennen und Be- 
25 herrschen von Fehlern und Ausfallen ist die mehrkanalige, 

redundante Ausfuhrung elektronischer Gerate - in den jeweili- 
gen Kanalen werden gleiche Operationen parallel ausgefuhrt. 
Durch Vergleich der Ergebnisse bzw. Ausgangswerte wird er- 
kannt, ob in einem der Kanale ein Fehler aufgetreten ist. 

30 

Eine bestimmte Gruppe von Fehlern, die fur die Gewahrleistung 
eines f unktionssicheren Betriebs von besonderer Relevanz 
sind, sind die sogenannten systematischen Fehler einer Bau- 
gruppe, eines Bauteils oder einer Komponente eines Kanals. 
35 Derartige Fehler konnen z.B. durch die logische Struktur, 
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d.h. die Verschaltung der einzelnen Komponenten und Baugrup- 
pen untereinander, oder deren physikalischen Eigenschaf ten, 
die durch den jeweils angewandten HerstellungsprozeE bedingt 
sind, begrundet sein. Die fur die vorgesehene Anwendung aus- 
5 reichende Freiheit von systematischen Fehlern wird durch um- 
fangreiche Zertif izierungsmafcnahmen nachgewiesen. 

Bei der heutigen schnellen Entwicklung der Halbleitertechno- 
logie werden die Herstellungsprozesse bereits nach kurzer 

10 Zeit gewechselt. Dies hat zur Folge, dafi fur die betreffenden 
Komponenten und Baugruppen ihre Freiheit von systematischen 
Fehlern immer wieder neu nachgewiesen werden mufc, denn der 
Betrieb derartiger Komponenten und Baugruppen in einem als 
f unktionssicher eingestuften System ist nur nach umfangrei- 

15 chen Zertif izierungsmafcnahmen zulassig. 

Der schnelle Innovationszyklus im Bereich der Halbleiter hat 
zur Folge, da£ diese Zertif izierung z.B. mit jeder neuen Mi- 
kroprozessorgeneration oder jeder neuen Speicherbausteingene- 

20 ration neu durchgefuhrt werden muB, wobei die fur den Zerti- 
f izierungsproze6 aufgrund der fur die zu erbringenden Tests 
und/oder der fur den Nachweis der Betriebsbewahrtheit zu ver- 
anschlagenden Zeit dazu fuhrt, da£ neuartige Bauteile erst 
mit erheblicher Verzogerung fur sicherheitsrelevante Anwen- 

2 5 dungen eingesetzt werden konnen. 

Die Aufgabe der vorliegenden Erfindung besteht folglich dar- 
in, ein elektronisches Gerat anzugeben, mit dem es moglich 
ist, in sicherheitsrelevanten Systemen mit homogen re- 
30 dundanten Kanalen Baugruppen, Bauteile oder Komponente zu be- 
treiben, fur welche die ausreichende Freiheit von systemati- 
schen Fehlern noch nicht nachgewiesen wurde. 

Die Aufgabe wird fur das elektronische Gerat dadurch gelost, 
35 dafc das zumindest zweikanalig homogen redundant aufgebaute 
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elektronische Gerat, das insbesondere eine zweikanalig homo- 
gen redundant aufgebaute programmierbare Logik sein kann, zu- 
mindest einen zertif izierten Kanal und zumindest einen nicht 
zertif izierten Kanal aufweist, wobei der zertif izierte Kanal 
5 ein von systematischen Fehlern ausreichend freier Kanal ist. 

Als von systematischen Fehlern ausreichend freier Kanal wird 
in diesem Zusammenhang ein Kanal verstanden, dessen Versa- 
genswahrscheinlichkeit uber einen bestimmten Zeitraum eine 
10 bestimmte, durch die jeweilige Anwendung beeinflufcte Schwel- 
le, die z.B. eine Schwelle nach dem internationalen Schrift- 
stuck Draft-IEC 1508 sein kann, nicht uberschreitet . 

Wenn fur jeden Kanal ein abfragbares Kennzeichen, z.B. eine 
15 spezielle Speicherzelle oder ein mechanischer oder elektroni- 
scher Schalter vorgesehen ist, wobei beim Abfragen des Kenn- 
zeichens fur einen zertif izierten Kanal eine erste Kennung 
bzw. fur einen nicht zertif izierten Kanal eine zweite Kennung 
ermittelbar ist und das elektronische Ger&t seinen Betrieb 
20 nur dann aufnimmt, wenn bei der Abfrage der Kennung der ein- 
zelnen Kanale zumindest einmal die erste Kennung auftritt, so 
ist damit fur das elektronische Gerat ein Selbsttest reali- 
siert, der gewahrleistet , da£ das elektronische Ger&t seinen 
Betrieb nur dann aufnimmt, wenn sichergestellt ist, daS min- 
25 destens einer der Kanale des mindestens zweikanalig aufgebau- 
ten elektronischen Gerates ein von systematischen Fehlern 
ausreichend freier, d.h. zertif izierter Kanal ist. 

Wenn die Abfrage der Kennung der einzelnen Kanale sequentiell 
30 erfolgt, ist eindeutig ermittelbar, welcher der Kanale ein 
von systematischen Fehlern ausreichend freier, d.h. zertifi- 
zierter Kanal ist und welcher der Kanale ein von systemati- 
schen Fehlern nicht ausreichend freier, d.h. nicht zertif i- 
zierter Kanal ist. 



WO 98/38577 



PCT/EP98/00827 



4 

Wenn die Kennung des nicht zertif izierten Kanals beim Betrieb 
des elektronischen Gerates nach einer vorgebbaren, von er- 
kannten Fehlern freien Zeitspanne von der zweiten Kennung, 
die den Kanal als nicht zertifiziert charakterisiert , auf die 

5 erste Kennung, die den Kanal als zertifiziert charakteri- 
siert, wechselbar ist, ist nach ausreichender Betriebsdauer 
und Bewertung des Betriebsverhaltens des bisher nicht zerti- 
fizierten Kanals dieser Kanal selbst als Ref erenzkanal ein- 
setzbar, so date mit dem elektronischen Gerat z.B. Bauteile, 

0 Komponenten oder Baugruppen der ubernachsten Generation, die 
naturlich noch nicht zertifiziert sind, eingesetzt werden 
k6nnen, ohne vorher deren Fehlerf reiheit nachweisen zu mus- 
sen . 

5 Weitere Vorteile und erf inderische Einzelheiten ergeben sich 
aus der nachf olgenden Beschreibung eines Ausf uhrungsbeispiels 
anhand der Zeichnung und in Verbindung mit den Unteranspru- 
chen. Im einzelnen zeigt: 

0 FIG 1 ein Blockschaltbild einer zweikanalig homogen re- 
dundant aufgebauten Zentraleinheit einer speicher- 
programmierbaren Steuerung. 

GemaS FIG 1 ist das elektronische Gerat EG eine zweikanalig 
5 homogen redundant aufgebaute Zentraleinheit einer speicher- 
programmierbaren Steuerung. Homogene Redundanz bezeichnet 
hier die Tatsache, da£ die einzelnen Kanale symmetrisch mit 
zumindest f unktionsgleichen Bauteilen, Komponenten oder Bau- 
gruppen aufgebaut sind. 

0 

Beim Ausf uhrungsbeispiel gemafi FIG 1 weist der Kanal A einen 
Mikroprozessor P, einen Programmspeicher I und einen Daten- 
speicher R auf. Der Betrieb des Mikroprozessors P wird mit- 
tels einer Oberwachungseinheit W, eines sogenannten Watchdogs 
5 Wuberwacht . Der Kanal B ist homogen redundant zum Kanal A 
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aufgebaut/ was insbesondere anhand der gleichen Komponenten 
p, I, R, die jeweils auch mit gleichen Bezugszeichen versehen 
sind, deutlich wird. 

Kanal A mufi aus den Komponenten P, I, R, W aufgebaut sein, 
fur die die Freiheit von systematischen Fehlern ausreichend 
nachgewiesen ist, mithin die jeweiligen Komponenten, Bauteile 
und Baugruppen also zertifiziert sind. Damit stellt sich Ka- 
nal A insgesamt als von systematischen Fehlern ausreichend 
freier Kanal A dar. 

In Kanal B werden eine oder mehrere Komponenten P, I, R, W in 
Versionen eingesetzt, -die in irgendeiner Weise ver&ndert wur- 
den, z.B. aufgrund eines neuen oder geanderten Fertigungspro- 
zesses, und fur die die Freiheit von systematischen Fehlern 
noch nicht ausreichend nachgewiesen ist. 

Werden in den betreffenden Bauteilen, Komponenten oder Bau- 
gruppen von Kanal B eventuell vorhandene systematische Fehler 
0 wirksam, werden diese durch Ergebnisvergleich mit Kanal A, 

der uber die Kopplung K, die zwischen den Kanalen A und B be- 
steht, durchfuhrbar ist, erkannt und konnen somit beherrscht 
werden . 

5 Damit ist es moglich, ohne Verschlechterung der Sicherheits- 
eigenschaf ten in einem Kanal A, B des redundanten elektroni- 
schen Gerates EG Bauteile, Komponenten oder Baugruppen zu 
verwenden, deren Fehlerf reiheit noch nicht ausreichend nach- 
gewiesen ist, die mithin noch nicht zertifiziert sind. 

0 

Mit Hilfe des Ergebnisvergleichs werden systematische Fehler, 
die z.B. durch die physikalischen Eigenschaf ten der jeweili- 
gen elektronischen Bauteilen, Komponenten oder Baugruppen 
oder durch einen vera'nderten Fertigungs- oder Montageprozefc 
5 bedingt sind, erkannt. 
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Das erf indungsgemafie elektronische Ger&t EG erlaubt es dein 
Anbieter eines derartigen Ger&tes unmittelbar auf die Innova- 
tionszyklen -z.B. der Halbleiterindustrie zu reagieren und 
5 auch in f unkt ionssicheren Systemen stets Bauteile, Komponen- 
ten oder Baugruppen anzubieten, die dem aktuellen Stand der 
Entwicklung entsprechen, auch wenn fur diese Bauteile deren 
ausreichende Freiheit von systematischen Fehlern bisher mit 
einer Zertif izierung noch nicht explizit nachgewiesen ist. 
10 . 

In diesem Zusammenhang muS es als besonders vorteilhaft ange- 
sehen werden, da£ mit dem erf indungsgemaSen Verfahren bzw. 
dem erf indungsgemaSen elektronischen Gerat EG diese Zertif i- 
zierung implizit zu erreichen ist. 

15 

Zu diesem Zweck ist es vorgesehen, daft fur jeden Kanal A, B 
des elektronischen Gerates EG eine Kennung verwaltet wird, 
die daruber Aufschlufc gibt, ob der jeweilige Kanal A, B als 
von systematischen Fehlern ausreichend frei angesehen werden 

20 kann. Nach einer bestimmten, insbesondere vom Benutzer frei 
wahlbaren Zeitspanne, bei der im Betrieb des elektronischen 
Gerates EG im bisher nicht zertif izierten Kanal A, B kein sy- 
stematischer Fehler erkannt wurde, ist diese Kennung von 
„nicht zertif iziert" auf „zertif iziert" umschaltbar, so da£ 

25 auch der bisher explizit nicht zertif izierte Kanal, dessen 

Freiheit von systematischen Fehlern im konkreten Betrieb aus- 
reichend nachgewiesen ist, wie ein explizit zertif izierter 
Kanal eingesetzt werden kann. 

30 Dies ermoglicht es insbesondere in einem elektronischen Gerat 
EG zusmmen mit diesem nunmehr „online-zertif izierten Kanal" 
in einem weiteren, redundanten Kanal A, B auch Bauteile, Bau- 
gruppen oder Komponenten der ubernachsten Generation von 
Halbleiterbaueiementen einzusetzen, und sodann entsprechend 

35 dem oben beschriebenenen Vorgang auch fur diese Komponenten 
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nach MSglichkeit deren ausreichende Freiheit von systemati- 
schen Fehlern nachzuweisen. 

Damit ermoglicht der Einsatz des erf indungsgemafcen elektroni- 
5 schen Ger&tes EG bzw. die Anwendung des erf indungsgem&Sen 
Verfahrens jederzeit die Verwendung der neuesten Bauteile, 
Baugruppen oder Komponenten, die ansonsten erst nach einem 
zeitaufwendigen Zertif izierungsprozeft fur die Anwendung in 
sicherheitsrelevanten Systemen freigegeben werden. 
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Patentanspruche 

1. Zumindest zweikanalig homogen redundant aufgebautes elek- 
tronisches Gerat (EG), insbesondere zweikanalig homogen 

5 redundant aufgebaute programmierbare Logik, wobei das 

elektronische Gerat (EG)' zumindest einen zertif izierten 
Kanal (A) und zumindest einen nicht zertif izierten Kanal 
(B) aufweist, wobei der zertif izierte Kanal (A) ein von 
systematischen Fehlern ausreichend freier Kanal ist. 

0 

2. Elektronisches Gerat nach Anspruch 1, dadurch 
gekennzeichnet, daS fur jeden Kanal (A, 
B) ein abfragbares Kennzeichen vorgesehen ist, wobei beim 
Abfragen des Kennzeichens fur einen zertif izierten Kanal 

5 (A) eine erste Kennung (T) bzw, ftir einen nicht zertif i- 

zierten Kanal (B) eine zweite Kennung (F) ermittelbar 
ist, wobei das elektronische Gerat (EG) seinen Betrieb 
nur dann aufnimmt, wenn bei der Abfrage der Kennung der 
einzelnen Kanale (A, B) zumindest einmal die erste Ken- 

0 nung (T) vorliegt. 

3. Elektronisches Gerat nach Anspruch 2, dadurch 
gekennzeichnet, dafi die Abfrage der Ken- 
nung der einzelnen Kanale (A, B) sequentiell erfolgt. 

5 

4. Elektronisches Gerat nach Anspruch 2 oder 3, d a - 
durch gekennzeichnet, da£ die 
Kennung des nicht zertif izierten Kanals (B) nach einer 
vorggebbaren, von erkannten Fehlern freien Zeitspanne von 

0 der zweiten Kennung (F) auf die erste Kennung (T) wech- 

selbar ist. 

5. Verfahren zum Betreiben eines zumindest zweikanalig homo- 
gen redundant aufgebauten elektronischen Gerates (EG), 

5 insbesondere einer zweikanalig homogen redundant aufge- 
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bauten programmierbaren Logik, wobei das elektronische 
Gerat (EG) zumindest einen zertif izierten Kanal (A) und 
zumindest einen nicht zertif izierten Kanal (B) aufweist, 
wobei def* zertif izierte Kanal (A) ein von systematischen 
5 Fehlern ausreichend freier Kanal ist. 



6. Verfahren nach Anspruch 5, dadurch g e - 
kennzeichnet , da& fur jeden Kanal (A, B) 
ein abfragbares Kennzeichen vorgesehen ist, wobei beim 

10 Abfragen des Kennzeichens fur einen zertif izierten Kanal 

(A) eine erste Kennung (T) bzw. fur einen nicht zertifi- 
zierten Kanal (B) eine zweite Kennung (F) ermittelt wird, 
wobei das elektronische Gerat (EG) seinen Betrieb nur 
dann aufnimmt, wenn bei der Abfrage der Kennung der ein- 

15 zelnen Kanale (A, B) zumindest einmal die erste Kennung 

(T) auftritt. 

7. Verfahren nach Anspruch 6, dadurch g e - 
kennzeichnet, daS die Abfrage der Kennung 

20 der einzelnen Kanale (A, B) sequentiell erfolgt. 



8. Verfahren nach Anspruch 6 oder 1, dadurch 

gekennzeichnet , daft die Kennung des 
nicht zertif izierten Kanals (B) nach einer vorggebbaren, 
25 von erkannten Fehlern freien Zeitspanne von der zweiten 

Kennung (F) auf die erste Kennung (T) gewechselt wird. 
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